特許第6236976号(P6236976)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 富士通株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 富士通株式会社の特許一覧

特許6236976認証制御プログラム、認証制御装置、及び、認証制御方法
<>
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000002
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000003
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000004
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000005
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000006
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000007
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000008
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000009
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000010
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000011
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000012
  • 特許6236976-認証制御プログラム、認証制御装置、及び、認証制御方法 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6236976
(24)【登録日】2017年11月10日
(45)【発行日】2017年11月29日
(54)【発明の名称】認証制御プログラム、認証制御装置、及び、認証制御方法
(51)【国際特許分類】
   G06F 21/31 20130101AFI20171120BHJP
   G06F 21/30 20130101ALI20171120BHJP
【FI】
   G06F21/31
   G06F21/30
【請求項の数】13
【全頁数】22
(21)【出願番号】特願2013-166894(P2013-166894)
(22)【出願日】2013年8月9日
(65)【公開番号】特開2015-35186(P2015-35186A)
(43)【公開日】2015年2月19日
【審査請求日】2016年5月10日
(73)【特許権者】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100094525
【弁理士】
【氏名又は名称】土井 健二
(74)【代理人】
【識別番号】100094514
【弁理士】
【氏名又は名称】林 恒徳
(72)【発明者】
【氏名】榎本 俊数
【審査官】 金木 陽一
(56)【参考文献】
【文献】 特開平9−212458(JP,A)
【文献】 特開2001−92783(JP,A)
【文献】 特開2002−229950(JP,A)
【文献】 特開2012−146337(JP,A)
【文献】 特表2012−519908(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
G06F 21/30
(57)【特許請求の範囲】
【請求項1】
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させ、前記評価値が第1の評価値以上の場合は、最も高い難易度を示す第1の難易度よりも低い第2の難易度の認証テストを前記端末装置に実行させ、前記認証テストの通過後の前記端末装置に対する応答速度を第1の応答速度に制御し、前記評価値が第1の評価値に満たない場合は、前記第1の難易度の前記認証テストを前記端末装置に実行させ、前記認証テストの通過後の前記端末装置に対する応答速度を前記第1の応答速度より遅い第2の応答速度に制御する認証制御工程と、を有する認証制御プログラム。
【請求項2】
請求項1において、
前記情報入力速度情報は、前記情報入力の速度の分散値である認証制御プログラム。
【請求項3】
請求項2において、
前記評価値取得工程では、前記分散値が第1の値と前記第1の値より大きい第2の値との間にあるときに、前記分散値が前記第1の値より小さいときよりも、または、前記第2の値より大きいときよりも高い前記評価値を取得する認証制御プログラム。
【請求項4】
請求項1乃至3のいずれかにおいて、
前記評価値取得工程では、さらに、前記端末装置のIPアドレスが同一であってセッションIDが異なるセッションの単位時間当たりの多重度が基準多重度を超えないときに、当該端末装置からのセッションについて、前記単位時間当たりの多重度が前記基準多重度を超えるときよりも高い前記評価値を取得する認証制御プログラム。
【請求項5】
請求項1において、
前記認証制御工程では、前記評価値が、前記第1の評価値よりも高い第2の評価値を超える場合に、前記端末装置に前記認証テストを実行させることなく当該端末装置の認証を許可する認証制御プログラム。
【請求項6】
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づく評価値であって、前記端末装置において行われた情報入力において情報の削除処理が行われたときに、前記削除処理が行われないときよりも高い前記評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御プログラム。
【請求項7】
請求項1乃至のいずれかにおいて、
前記評価値取得工程では、前記端末装置において行われた情報入力の速度が基準速度を超えないときに、前記基準速度を超えるときよりも高い前記評価値を取得する認証制御プログラム。
【請求項8】
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づく評価値であって、前記端末装置において、前記情報入力の完了後、入力した情報の送信指示が行われるまでの時間が基準時間を超えるときに、前記基準時間を超えないときよりも高い前記評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御プログラム。
【請求項9】
請求項1乃至のいずれかにおいて、
前記認証テストは、CAPTCHAである認証制御プログラム。
【請求項10】
サーバにおいて端末装置の認証処理を制御する認証制御装置であって、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づく評価値であって、前記端末装置において行われた情報入力において情報の削除処理が行われたときに、前記削除処理が行われないときよりも高い前記評価値を取得する評価値取得手段と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御手段と、を有する認証制御装置。
【請求項11】
サーバにおいて端末装置の認証処理を制御する認証制御方法であって、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づく評価値であって、前記端末装置において行われた情報入力において情報の削除処理が行われたときに、前記削除処理が行われないときよりも高い前記評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御方法。
【請求項12】
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力において情報の削除処理が行われたときに、前記削除処理が行われないときよりも高い難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御プログラム。
【請求項13】
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力の完了後、入力された情報の送信指示が行われるまでの時間が基準時間を超えるときに、前記基準時間を超えないときよりも低い難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証制御プログラム、認証制御装置、及び、認証制御方法に関する。
【背景技術】
【0002】
スパム送信者によるフリーメールのアカウントの自動取得や、ブログのコメント欄への広告の自動投入等を防ぐために、CAPTCHA(登録商標)による認証テストが使用される。CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart:コンピュータと人間を区別する完全に自動化された公開チューリングテスト)は、応答者が人間であるか否かを判断するために使用されるチャレンジ/レスポンス型テストの一種である。
【0003】
CAPTCHAでは、人間が解くのは簡単であるが、コンピュータが解くには難しいテストが行われる。CAPTCHAの一例として、例えば、歪んだ文字や数字が含まれるCAPTCHA画像が提示され、画像内の文字や数字の列の入力が指示される。そして、入力された文字列がCAPTCHA画像と一致する場合、認証に成功する。認証に成功した応答者は、人間であると認定され、フリーメールのアカウントの取得処理や、処理の継続が許可される。一方、認証に失敗した場合は、応答者が機械であると判定され、処理の継続が許可されない。これにより、自動処理がアカウントの自動取得や、ブログ等への自動ポスティングが阻止される。
【0004】
認証機能における不正判定については、例えば、特許文献1に記載される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−114976号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ただし、最近の画像認識技術の発達に伴い、簡単なCAPTCHAは、不正なプログラムによって自動解読されてしまう。そこで、不正なプログラムへの対策として、CAPTCHAの難易度が高く設定される。ただし、CAPTCHAの難易度が高い場合、人間にとってもCAPTCHA画像の判読が困難であり、善意のユーザが認証テストに成功することができない状況が生じる。このように、人間とプログラムとの判別を行う認証テストで、単に難易度を調整するだけでは、人間による入力も排除することとなり、認証テストが有効に機能していない場合があった。
【0007】
1つの側面では、本発明は、認証テストを効果的に制御する認証制御プログラム、認証制御装置、及び、認証制御方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
第1の側面は、サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得工程と、前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する。
【発明の効果】
【0009】
第1の側面によれば、認証テストの制御が効果的に行われる。
【図面の簡単な説明】
【0010】
図1】本実施の形態例における認証制御装置の構成を説明する図である。
図2】本実施の形態例における認証制御装置のブロック図を説明する図である。
図3】画像によるCAPTCHAの一例を示す図である。
図4】難易度に応じたCAPTCHAの画像の例を示す図である。
図5】端末装置のウェブブラウザにおける画面遷移の一例について説明する図である。
図6】認証制御処理の概要について説明するフローチャート図である。
図7】応答者が機械である場合の単位時間当たりの情報入力量の変移を示す図である。
図8】応答者が人間である場合の単位時間当たりの情報入力量の変移を示す図である。
図9】評価値の算出処理について説明するフローチャート図である。
図10】端末装置と認証制御装置とのセッションの多重度について説明する図である。
図11】第2の実施の形態例における評価値の算出処理を説明するフローチャート図である。
図12】画面毎の情報入力のタイミングと情報量とについて説明する図である。
【発明を実施するための形態】
【0011】
以下、図面にしたがって本発明の実施の形態について説明する。ただし、本発明の技術的範囲はこれらの実施の形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。
【0012】
[認証制御装置の構成]
図1は、本実施の形態例における認証制御装置10の構成を説明する図である。図2の認証制御装置10は、例えば、入力装置11、表示装置12、通信インタフェース13、プロセッサ14、記憶媒体15、メモリ16を有する。各部は、バス17を介して互いに接続される。入力装置11は、例えば、キーボードやマウス等を示し、表示装置12は、例えば、ディスプレイ等の表示画面を示す。また、認証制御装置10は、通信インタフェース13を介して、外部のコンピュータとの通信を行う。
【0013】
メモリ16には、ウェブサーバプログラムSR、及び、本実施の形態例における認証制御プログラムPRが記憶される。ウェブサーバプログラムSRは、プロセッサ14と協働して、HTTPにしたがって、ウェブブラウザbrに対するHTMLや画像等の表示処理を実現する。認証制御プログラムPRは、プロセッサ14と協働して、本実施の形態例における認証制御処理を実現する。
【0014】
[認証制御装置10のブロック図]
図2は、本実施の形態例における認証制御装置10のブロック図を説明する図である。図2の認証制御装置10は、例えば、認証制御部21とウェブ制御24とを有する。認証制御部21は、端末装置30のウェブブラウザbr上で入力された情報を取得すると共に、端末装置30のウェブブラウザbrにおける認証処理を制御する。ウェブ制御24は、認証制御部21を介してウェブブラウザbrにおける入力情報を取得すると共に、ウェブブラウザbrへの出力情報を出力する。
【0015】
また、認証制御部21は、例えば、評価値算出部22と実行制御部23とを有する。評価値算出部22は、ウェブブラウザbrにおける情報入力に関するデータを取得し、当該データに基づいて、ウェブブラウザbrを人間が操作している推測度合いを示す評価値を算出する。この例において、評価値は、応答者が人間である可能性が高いほど、高い値である。データとは、例えば、単位時間当たりの情報の入力量や、入力された情報量の増減推移等のデータである。また、実行制御部23は、評価値が低いほど高い難易度を有する、応答者が人間であることを検証する認証テストをウェブブラウザbrに実行させる。
【0016】
ここで、認証テストについて説明する。
【0017】
[認証テスト]
本実施の形態例において、認証テストは、応答者が人間であることを検証するために行われるテストである。例えば、ウェブページの入力フォームなどにおける、自動プログラム等による自動入力を防止するために、応答者が人間であることが確認される。そして、認証テストに成功した場合、応答者が人間であるとみなされ、処理が許可される。これにより、迷惑メール業者による無料メールサービスのアカウントを大量取得や、広告の自動投稿等の行う自動プログラムの実行が回避される。認証テストは、例えば、CAPTCHAである。
【0018】
図3は、画像によるCAPTCHAの一例を示す図である。画像によるCAPTCHAでは、画像に示される文字や数字を判読可能か否かによって、応答者が人間であるか否かが判定される。図3の例におけるCAPTCHA画像は、文字列“hltpog”を含む。
【0019】
具体的に、まず、図3のような、ランダムな文字や数字の列を含む画像が、端末装置30のウェブブラウザbrに表示される。そして、応答者は、CAPTCHA画像が含む文字や数字の列を読み取り、読み取った文字列を入力し送信する。図3のように、表示される文字や数字は歪みや重複を有する。このため、応答者が機械である場合、画像から文字や数字を判読することは困難である。このため、CAPTCHA画像に含まれる文字列と、応答者によって入力された文字列とが一致する場合、応答者が人間であるとみなされる。
【0020】
しかしながら、不正プログラムによるCAPTCHAの判読能力の向上に伴い、不正プログラムに対する対策のために、CAPTCHAの難易度についても高くなっている。CAPTCHAの難易度が高い場合、CAPTCHAに含まれる文字列を判読することは人間にとっても著しく困難である。このような場合、認証テストに対する応答を諦める応答者も多い。このため、本来の認証テストの役割を果たせていない場合が生じている。
【0021】
図4は、難易度の異なる3つのCAPTCHA画像を例示する図である。図4には、文字列は同一であるが、難易度の異なる3つのCAPTCHAts1〜ts3の画像が示される。この例において、CAPTCHAts1からCAPTCHAts3に連れて難易度が高い。難易度の低いCAPTCHAts1は、人間にとって容易に判読可能であると共に、機械(不正プログラム)にとっても比較的容易に文字列が判読可能である。また、難易度の高いCAPTCHAts3は、機械による文字列の判読は困難である。ただし、CAPTCHAts3の難易度の高い場合、人間にとっても文字列の判読は困難である。したがって、応答者が人間である可能性が高い場合は難易度の低いCAPTCHAts1が、応答者が機械である可能性が高い場合は難易度の高いCAPTCHAts3が実行されることが望ましい。
【0022】
そこで、本実施の形態例における認証制御装置10は、認証処理の対象となる端末装置30において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得し、評価値に応じた難易度を有する認証テストを端末装置30に実行させる。情報入力速度情報は、例えば、情報入力の速度の分散値である。このように、認証制御装置10は、端末装置30において行われた情報入力の速度に基づいて、応答者が人間である推測度合いを示す評価値を算出する。そして、認証制御装置10は、算出した評価値が低いほど高い難易度を有する難易度のCAPTCHAを実行させる。これにより、認証制御装置10は、人間である可能性が高い応答者に対して簡易な認証テストを実行させることができる。また、認証制御装置10は、機械である可能性が高い応答者に対して難易度の高い認証テストを実行させることができ、機械による自動処理を抑制することができる。
【0023】
なお、CAPTCHAは、図2図3の例に限定されるものではない。例えば、CAPTCHAとして、テキストの意味を理解させるような認証テストが用いられる。テキストの意味を理解させるような問題とは、例えば、論理パズルや常識、計算問題等である。同様にして、認証テストに成功した応答者は人間であるとみなされる。
【0024】
なお、本実施の形態例における認証制御装置10は、端末装置30のウェブブラウザbrにおいて行われた情報入力の速度に基づいて、評価値に応じた難易度を有する認証テストを端末装置30のウェブブラウザbr上で実行させる。ただし、情報入力はウェブブラウザbr上において行われる情報入力に限定される必要はなく、端末装置30において行われる情報入力であればよい。また、認証テストについても、端末装置30のウェブブラウザbr上で実行される認証テストに限定される必要はなく、端末装置30において実行されればよい。
【0025】
ここで、本実施の形態例における認証制御処理の概要を説明する前に、ウェブブラウザbrにおける画面遷移の一例を例示する。
【0026】
[画面遷移例]
図5は、端末装置30のウェブブラウザbrにおける画面遷移の一例について説明する図である。この例において、ウェブブラウザbrでは、例えば、フリーメールのアカウントの取得処理が行われる。
【0027】
図5に示すように、まず、端末装置30に第1の画面sc1が表示される。第1の画面sc1では、例えば、フリーメールのアカウント取得に必要な情報d1の入力処理が行われる。この場合、情報d1とは、例えば、氏名や住所、電話番号等を示す文字や数字である。そして、応答者によって、必要な情報の入力後、「次へ」ボタンが押下される。これにより、入力された情報が認証制御装置10に送信され、続いて、端末装置30に第2の画面sc2が表示される。
【0028】
第2の画面sc2では、例えば、フリーメールのアカウント取得を許可する前に、応答者が人間であることを検証するCAPTCHA画像が表示される。そして、応答者によって、CAPTCHAの画像に表示された文字列が入力され、「送信」ボタンが押下されると、文字列が認証制御装置10に送信される。入力された文字列とCAPTCHAの画像に含まれる文字列とが一致する場合、応答者が人間であると判定され、フリーメールのアカウント取得が許可される。そこで、端末装置30に第3の画面sc3が表示される。第3の画面sc3では、例えば、さらに別の情報の入力処理が行われ、「次へ」ボタンが押下される。これにより、フリーメールのアカウントの取得処理が完了する。
【0029】
図5のように、一般的に、フリーメールのアカウントの取得処理において、CAPTCHA画像による認証テストの実行前に、応答者による情報の入力処理が行われる。本実施の形態例における認証制御装置10は、認証テストの実行前に入力される情報の入力速度に基づいて、評価値を算出する。そして、認証制御装置10は、評価値に基づいて、認証テストの難易度、及び、認証テストの成功後の端末装置30への応答速度を制御する。
【0030】
なお、図5の例では、認証テストの実行前、応答者によって情報が入力される画面は1画面のみ(第1の画面sc1)である。即ち、図5の例において、認証制御装置10は、認証テストの実行前、1つ画面に対して行われる情報入力の速度に基づいて、評価値を算出する。しかし、この例に限定されるものではなく、認証制御装置10は、認証テストの実行前、複数の画面にわたって行われる情報入力の速度に基づいて、評価値を算出してもよい。
【0031】
続いて、本実施の形態例における認証制御処理の概要について説明する。
【0032】
[認証制御処理の流れ]
図6は、本実施の形態例における認証制御処理の概要について説明するフローチャート図である。まず、認証制御装置10は、端末装置30のウェブブラウザbrにおける情報入力の速度の分散値に基づいて、評価値を算出する(S11)。この処理については、別のフローチャート図に基づいて、詳細に説明する。
【0033】
続いて、認証制御装置10は、算出した評価値を判定する(S12)。認証制御装置10は、算出した評価値と基準評価値とを比較し、認証処理を制御する。具体的に、認証制御装置10は、例えば、評価値が第1の基準評価値に満たない場合、最高難易度のCAPTCHAを選択し、端末装置30のウェブブラウザbrに実行させる(S13)。
【0034】
評価値が第1の基準評価値に満たない場合、評価値が小さいことから、応答者は人間である可能性が低いと想定される。即ち、不正なプログラムによって、ウェブブラウザbrが操作されている可能性がかなり高いことが想定可能になる。そこで、認証制御装置10は、難易度の高いCAPTCHAを端末装置30のウェブブラウザに実行させる。これにより、不正なプログラムは、CAPTCHAに成功することが困難になる。したがって、認証制御装置10は、ウェブブラウザbrにおける不正プログラムの自動処理を抑止することができる。
【0035】
さらに、続いて、認証制御装置10は、さらに、応答者が最高難易度のCAPTCHAの認証に成功した場合、端末装置30に対する応答速度を故意に低下させる(S14)。これにより、端末装置30では、ウェブサーバからの応答処理のタイムアウトエラーが発生し易い。このため、不正なプログラムは、最高難易度のCAPTCHAの認証に成功した場合であっても、ウェブブラウザbr上で発生するタイムアウトエラーにより、自動処理の継続に失敗する。これにより、認証制御装置10は、ウェブブラウザbrにおける不正プログラムの自動処理を抑止することができる。
【0036】
タイムアウトによって不正プログラムの処理がエラー状態になった場合、不正なプログラムの実行者である第3者は、認証制御処理によって応答者が機械であることが検知されたことに気づき難い。即ち、悪意のある第3者は、タイムアウトによってエラーになった場合、不正プログラムによる実行が検知されたことにより、エラーが発生したとは発想し難い。このため、認証制御装置10は、悪意のある第3者に、応答者が機械(不正プログラム)であることを検知したことを悟られることなく、不正プログラムの自動処理を抑止することができる。
【0037】
一方、例えば、タイムアウトではなく、認証テストにおいてエラー状態になった場合、悪意のある第3者は、認証制御処理によって応答者が機械(不正プログラム)であることが検知されたことにより、エラーが発生したと認識し易い。これにより、悪意のある第3者は、認証制御処理に対して新たな対策を講じることになる。悪意のある第3者によって、新たな対策が講じられることにより、認証制御装置10は、さらに、別の対策を講じる必要性が生じる。このように、不正プログラムによる実行を検知したことを悪意のある第3者に悟られない方が望ましい。
【0038】
そこで、本実施の形態例における認証制御装置10は、最高難易度のCAPTCHAの認証に成功した場合、端末装置30に対する応答速度を低下させる。これにより、認証制御処理が透過的に実装されることになる。このため、悪意のある第3者は、認証制御処理の存在の検知や、認証制御処理の仕様の把握が困難になる。これにより、認証制御装置10は、より効率的に、不正なプログラムによる自動処理を抑制することができる。
【0039】
図6のフローチャート図に戻り、一方、評価値が第1の基準評価値以上であって、第2の基準評価値(>第1の基準評価値)より小さい場合、認証制御装置10は、評価値が低いほど、より高い難易度を有するCAPTCHAを選択し、端末装置30のウェブブラウザbrに実行させる(S15)。評価値が第1の基準評価値以上である場合、応答者が人間である可能性が高いことを示す。ただし、評価値が第2の基準評価値(>第1の基準評価値)より小さいため、応答者が人間である可能性が高いものの、応答者が人間であることが確実であるとはいえない。そこで、認証制御装置10は、評価値に応じたCAPTCHAを端末装置30のウェブブラウザbrに実行させる。この場合、認証制御装置10は、端末装置30に対する応答速度を変更しない(S16)。
【0040】
他方、評価値が第2の基準評価値以上である場合、認証制御装置10は、端末装置30のウェブブラウザbrによるCAPTCHAを省略する(S17)。評価値が第2の基準評価値以上である場合、応答者が人間である確実性がかなり高いことを示す。この場合、応答者が人間であるか否かの判定を行う必要がないため、認証制御装置10は、CAPTCHAによる認証を省略する。CAPTCHAによる認証は、応答者にとって煩わしい処理である。そこで、認証制御装置10は、人間であることの確実性が高い応答者に対しては、CAPTCHAによる認証を省略することによって、応答者の利便性を高める。また、認証制御装置10は、この場合についても、端末装置30に対する応答速度を変更しない(S16)。
【0041】
続いて、評価値の算出処理について説明する。本実施の形態例における認証制御装置10は、認証テストが実行される前の情報入力の画面における、情報入力の速度を使用する。具体的に、認証制御装置10は、情報入力の速度として、例えば、単位時間当たりの情報の入力量を使用する。例えば、応答者が機械である場合、単位時間当たりの情報の入力量は均一である。または、応答者が機械である場合、例えば、一度に多量の文字を入力可能である。
【0042】
[応答者が機械である場合]
図7は、応答者が機械である場合における単位時間当たりの情報入力量の変移を例示する図である。図7のグラフG1、G2において、横軸は時間を、縦軸は単位時間当たりの情報入力量を示す。また、グラフG1、G2において、点線の横線は、単位時間毎の情報入力量の平均値av1、av2を示す。この例において、応答者が機械である場合の変移例を示す2つのグラフが例示される。
【0043】
応答者が機械である場合、短時間で多量の情報の入力処理が可能になる。即ち、情報入力の速度が高い。このため、グラフG1のように、例えば、画面が表示された初期の単位時間において、ほとんど全ての情報の入力が完了する。このため、単位時間当たりの情報入力量と、平均値av1との差異は大きい。したがって、単位時間毎の情報入力量に極端な偏りが生じる。つまり、単位時間毎の情報入力量の分散が極端に大きくなる。これは、情報入力の速度の分散が大きいことを示す。
【0044】
または、応答者が機械である場合、例えば、応答者が人間であると見せかけるために、人間らしい速度で情報の入力が行われる。即ち、単位時間当たりの情報入力量が極端に多くならないように操作される。ただし、この場合、グラフG2のように、例えば、単位時間毎の情報入力量は、平均値av2と同一の値になる。即ち、情報入力の速度は一定になる。この場合、単位時間毎の情報入力量の分散は0に近い値になる。これは、情報入力の速度の分散が0に近いことを示す。
【0045】
このように、応答者が機械である場合、情報入力の速度の分散は、ほとんど0に近い値、または、所定の値より大きい値になる。言い換えると、応答者が人間である場合、情報入力の速度の分散は、所定の範囲内に収まることを示す。
【0046】
[応答者が人間である場合]
図8は、応答者が人間である場合における単位時間当たりの情報入力量の変移を例示する図である。図7と同様にして、図8のグラフG3において、横軸は時間を、縦軸は単位時間当たりの情報入力量を示す。また、点線の横線は、単位時間毎の情報入力量の平均値av3を示す。
【0047】
応答者が人間である場合、入力する対象の情報を判断しながら、情報の入力処理を行う。また、入力する情報を考えるとき、入力処理は停止する。このため、グラフG3に示すように、例えば、単位時間当たりの情報入力量は不均一になり易い。ただし、応答者が人間である場合、単位時間毎の情報入力量に極端な偏りは生じ難い。したがって、前述したとおり、応答者が人間である場合、情報入力の速度の分散は、所定の範囲内に収まることが想定される。
【0048】
また、図示していないが、応答者が人間である場合、情報入力の速度には限界がある。また、応答者が機械である場合、情報入力において、タイプミス等による入力した情報の修正処理が発生することは考え難い。即ち、応答者が機械である場合、入力した情報の削除処理が発生することは考え難い。一方、応答者が人間である場合、タイプミスは容易に生じ得る。このため、応答者が人間である場合、入力した情報の削除処理が発生し得る。このように、情報入力の速度は所定の速度を超えない場合や、情報入力において情報の削除処理が発生する場合についても、応答者が人間である可能性が高いことが想定可能になる。
【0049】
続いて、本実施の形態例における認証制御装置10における、評価値の算出処理(図6のS11)について、フローチャート図に基づいて説明する。
【0050】
[評価値の算出処理]
図9は、本実施の形態例における評価値の算出処理について説明するフローチャート図である。認証制御装置10は、初めに、端末装置30のウェブブラウザにおいて行われる情報の入力開始から情報の送信までの、単位時間毎の総文字列の増減数の情報を取得する(S21)。具体的に、例えば、端末装置30は、ウェブブラウザbrにおいて行われた単位時間当たりの情報入力量を計測し、入力された情報と共に、認証制御装置10に送信する。または、端末装置30は、定期的に、ウェブブラウザbrにおいて行われた単位時間当たりの情報入力量を計測し、認証制御装置10に送信する。そして、認証制御装置10は、端末装置30のウェブブラウザbrにおいて行われた単位時間当たりの情報入力量と、情報の削除量とを取得する。なお、前述したとおり、情報入力は、ウェブブラウザにおいて行われる情報入力に限定されるものではない。
【0051】
続いて、認証制御装置10は、単位時間当たりの情報入力量(入力文字数)がn文字を超えるか否かを判定する(S22)。単位時間当たりの情報入力量がn文字を超える場合(S22のYES)、短い時間で多量の情報入力が行われたことを示す。情報入力が高速に行われる場合、応答者が機械である可能性が高い。そこで、認証制御装置10は、応答者が機械である可能性が高いことを示す低い点数を得点に加算する(S24)。一方、単位時間当たりの情報入力量がn文字を超えない場合(S22のNO)、認証制御装置10は、応答者が人間である可能性が高いことを示す高い点数を得点に加算する(S23)。
【0052】
続いて、認証制御装置10は、単位時間当たりの情報入力量の分散が約0(第1の値)より大きく、m(第2の値)より小さいか否かを判定する(S25)。単位時間当たりの情報入力量の分散が約0または、m以上である場合(S25のNO)、情報入力の速度がほぼ一定、または、極端な偏りがあることを示す。そこで、認証制御装置10は、応答者が機械である可能性が高いことを示す低い点数を得点に加算する(S27)。一方、単位時間当たりの情報入力量の分散が0より大きくmより小さい場合(S25のYES)、情報入力量の分散が一定の範囲内であることを示す。この場合、認証制御装置10は、応答者が人間である可能性が高いことを示す高い点数を得点に加算する(S26)。
【0053】
続いて、認証制御装置10は、情報の総入力数に減少が生じたか否かを判定する(S28)。即ち、認証制御装置10は、情報入力において削除処理が生じたか否かを判定する。応答者が機械である場合、入力ミスや手戻りが生じる可能性はほとんどない。そこで、削除処理が生じていない場合(S28のNO)、認証制御装置10は、応答者が機械である可能性が高いことを示す低い点数を得点に加算する(S30)。一方、削除処理が生じた場合(S28のYES)、認証制御装置10は、応答者が人間である可能性が高いことを示す高い点数を得点に加算する(S29)。
【0054】
そして、認証制御装置10は、総得点を判定する(S31)。総得点が所定の値以上である場合(S31のYES)、認証制御装置10は、高い値を有する評価値を算出する(S32)。即ち、総得点が所定の値以上である場合、応答者が人間である可能性が高いことを示す評価値が設定される。一方、総得点が所定の値に満たない場合(S31のNO)、認証制御装置10は、低い値を有する評価値を算出する(S33)。即ち、総得点が所定の値に満たない場合、応答者が人間である可能性が低いことを示す評価値が設定される。これにより、評価値が算出される。なお、認証制御装置10は、総得点を評価値として算出してもよい。
【0055】
なお、図9のフローチャート図において、認証制御装置10は、端末装置30のウェブブラウザにおいて行われた単位時間当たりの情報入力量と、情報の削除量とを取得する(S21)。しかしながら、認証制御装置10は、端末装置30において行われた単位時間当たりの情報入力量の代わりに、情報入力の速度、または、情報入力の速度の分散値のいずれかを取得してもよい。この場合、端末装置30は、単位時間当たりの情報入力量に基づいて、情報入力の速度または情報入力の速度の分散値を算出し、認証制御装置10に送信する。
【0056】
以上のように、本実施の形態例における認証制御処理は、認証処理の対象となる端末装置30において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得工程と、評価値に応じた難易度を有する認証テストを端末装置30に実行させる認証制御工程と、を有する。
【0057】
応答者が人間である場合、情報入力の速度は均一になり難い。また、応答者が人間である場合、情報入力の速度に、極端な偏りは生じ難い。そこで、本実施の形態例における認証制御処理によると、端末装置30における情報入力の速度に基づいて、応答者が人間である可能性を示す評価値を算出可能になる。そして、認証制御装置10は、評価値に応じた難易度を有する認証テストを端末装置30に実行させることができる。これにより、認証制御装置10は、人間である可能性が高い応答者に対して簡易な認証テストを実行させることができる。また、認証制御装置10は、機械である可能性が高い応答者に対して高い難易度の認証テストを実行させることができ、不正プログラムによる自動処理を抑止することができる。
【0058】
また、本実施の形態例における認証制御処理は、透過的に実装可能である。即ち、本実施の形態例における認証制御処理は、応答者が人間である場合の操作に影響を生じさせることなく実装可能である。このため、認証制御装置10は、正規の利用者の利便性を損なうことなく、不正なプログラムの自動処理の実行を抑止することができる。
【0059】
また、本実施の形態例の認証制御処理において、情報入力速度情報は、情報入力の速度の分散値である。これにより、認証制御装置10は、端末装置において行われた情報入力の速度の分散値に注目することにより、応答者が人間である推測度合いを示す評価値をより高精度に算出することができる。
【0060】
また、本実施の形態例の認証制御処理において、評価値取得工程では、分散値が第1の値と第1の値より大きい第2の値との間にあるときに、分散値が第1の値より小さく第2の値より大きいときよりも高い評価値を取得する。これにより、認証制御装置10は、端末装置において行われた情報入力の速度の分散値に基づいて、応答者が人間である推測度合いを示す評価値を算出することができる。
【0061】
また、本実施の形態例の認証制御処理における認証制御工程では、評価値が低いほど、より高い難易度を有する認証テストを端末装置に実行させる。これにより、認証制御装置10は、評価値に基づいて、応答者が人間である可能性が低いほど高度な難易度を有する認証テストを端末装置30に実行させることができる。これにより、認証制御装置10は、人間である可能性が高い応答者に対して簡易な認証テストを実行させると共に、機械である可能性が高い応答者に対して高い難易度の認証テストを実行させることができ、不正プログラムによる自動処理を抑止することができる。
【0062】
また、本実施の形態例における認証制御処理の認証制御工程では、評価値が第1の評価値以上の場合は、最も高い難易度を示す第1の難易度よりも低い第2の難易度の認証テストを端末装置30に実行させ、認証テストの通過後の端末装置30に対する応答速度を第1の応答速度に制御し、評価値が第1の評価値に満たない場合は、第1の難易度の認証テストを端末装置30に実行させ、認証テストの通過後の端末装置30に対する応答速度を第1の応答速度より遅い第2の応答速度に制御する。
【0063】
これにより、認証制御装置10は、応答者が機械である可能性が高いと判定された場合に、応答者に最高難易度の認証テストを提供することにより、機械による自動処理を困難にすることができる。また、認証制御装置10は、応答者が機械である可能性が高い場合、さらに、最高難易度の認証テストに成功した後の端末装置30に対する応答速度を故意に低下させる。これにより、認証制御装置10は、応答者が最高難易度の認証テストに成功した場合であっても、応答者の処理がタイムアウトエラーになり易く制御することができる。
【0064】
タイムアウトによってエラーになった場合、悪意のある第3者は、不正プログラムによる実行が検知されたことにより、エラーが発生したとは発想し難い。このため、認証制御装置10が、応答者が機械(不正プログラム)であることを検知したことは、悪意のある第3者に悟られづらい。したがって、本実施の形態例における認証制御処理の存在の検知や、認証制御処理の仕様の把握は、悪意のある第3者にとって困難となる。このため、認証制御装置10は、悪意のある第3者によって、認証制御処理に対する新たな対策が講じられることを回避することができる。このように、認証制御装置10は、悪意のある第3者に認証制御処理による制御を悟られることなく、効果的に、不正プログラムの自動処理を抑止することができる。
【0065】
また、本実施の形態例における認証制御処理において、認証制御工程では、評価値が、第1の評価値よりも高い第2の評価値を超える場合に、端末装置30に認証テストを実行させることなく当該端末装置30の認証を許可する。これにより、本実施の形態例における認証制御装置10は、応答者が人間である可能性がかなり高い場合に、認証テストの実行を省略することができる。これにより、応答者である人間は、煩わしい認証テストを免れることができ、効率よくウェブブラウザにおける操作を進めることができる。
【0066】
また、本実施の形態例における認証制御処理において、評価値算出工程では、端末装置において行われた情報入力において情報の削除処理が行われたときに、削除処理が行われないときよりも高い前記評価値を取得する。応答者が機械である場合、情報入力における情報の削除処理は発生し得ない。このため、認証制御装置10は、情報の削除処理の有無に基づいて、より高精度に、応答者の評価値を算出することができる。
【0067】
また、本実施の形態例における認証制御処理において、評価値算出工程では、端末装置30において行われた情報入力の速度が基準速度を超えないときに、基準速度を超えるときよりも高い評価値を取得する。応答者が人間である場合、情報入力の速度には限界がある。このため、認証制御装置10は、情報入力の速度が所定の基準速度を超えるか否かを判定することによって、より高精度に、応答者の評価値を算出することができる。
【0068】
[第2の実施の形態例]
第2の実施の形態例における認証制御装置10は、端末装置30とのセッションの多重度に基づいて、応答者の評価値を算出する。同一の端末装置30からのセッションの多重度が極端に高い場合、不正なプログラムにしたがってウェブサイト等における自動処理が行われている可能性が高い。
【0069】
そこで、第2の実施の形態例における認証制御装置10は、アクセス元のIPアドレスが同一であってセッションIDが異なるセッションの数に基づいて、セッションの多重度を算出する。そして、認証制御装置10は、単位時間当たりの多重度が基準多重度を超えないときに、当該端末装置30からのセッションについて、単位時間当たりの多重度が基準多重度を超えるときよりも高い前記評価値を取得する。即ち、認証制御装置10は、同一の端末装置30からのセッションの多重度が基準多重度内に収まる場合は、応答者が人間である可能性が高い旨、判定する。ここで、セッションIDについて説明する。
【0070】
[セッションID]
セッションIDとは、アクセス中のユーザ(応答者)の識別やセッション管理のために付与される固有の識別情報である。端末装置30からのウェブサイトへの初回のアクセス時、ウェブサーバは、端末装置30に対してセッションIDを割り振る。そして、ウェブブラウザbrは、同一のウェブサーバにアクセスする度に、セッションIDを送信する。ウェブサーバは、セッションIDに基づいて、同一のユーザからのアクセスであることを判別する。これにより、ウェブサーバは、同一のユーザによる複数回の連続したアクセスを識別可能になる。
【0071】
[同一の端末装置30からのセッションの多重度]
図10は、端末装置30と認証制御装置10とのセッションの多重度について説明する図である。図10の例では、端末装置30と認証制御装置10とのセッションの3つの態様が例示される。例えば、図10の3つの態様は、フリーメールのアドレスを取得するために、端末装置30からウェブサイトにアクセスが行われる場合を示す。
【0072】
まず、図10の(A)は、例えば、一般のユーザが、端末装置30aからウェブサイトにアクセスする場合を示す例である。即ち、ユーザ(応答者)は、人間である。この例において、ウェブサイトに対して、1つの端末装置30aのグローバルIPアドレスによるアクセスが発生し、ウェブサーバから端末装置30aのブラウザに1つのセッションIDが発行される。したがって、アクセス元のIPアドレスが同一であってセッションIDが異なるセッションの数は、1つである。即ち、端末装置30aと認証制御装置10(ウェブサーバ)とのセッションの多重度は1である。
【0073】
図10の(B)は、例えば、一般のユーザが、複数の端末装置30a〜30cからプロキシ40を介してウェブサイトにアクセスする場合を示す例である。即ち、ユーザ(応答者)は、人間である。この場合、ウェブサイトへのアクセス元のIPアドレスは、プロキシ40のIPアドレスになる。このため、図10の(B)の例では、ウェブサイトに対して、1つのグローバルIPアドレスによるアクセスが発生し、ウェブサーバから端末装置30a〜30cのブラウザに3つのセッションIDが発行される。したがって、アクセス元のIPアドレスが同一であってセッションIDが異なるセッションの数は、3つである。即ち、端末装置30a〜30cと認証制御装置10(ウェブサーバ)とのセッションの多重度は3である。図10の(B)の場合、同一のグローバルIPアドレスからのセッションであって、セッションIDの異なる3つのセッションが生じている。しかしながら、セッションの多重度がそれほど高くない
また、図10の(C)は、例えば、悪意のある第3者が、不正なプログラムに基づいて、端末装置30aからプロキシ40を介してウェブサイトにアクセスする場合を示す例である。即ち、ユーザ(応答者)は、機械である。例えば、不正なプログラムは、多量のセッションIDを不正に取得し、1つの端末装置30aからウェブサイトへの多量のセッションを発生させる。そして、不正なプログラムは、多量のセッションを利用して、多量のフリーメールのアドレスを自動取得する。図10の(C)の例では、ウェブサイトに対して、1つのグローバルIPアドレスによるアクセスが発生し、ウェブサーバから端末装置30aのブラウザに多量のセッションIDが発行される。したがって、端末装置30aと認証制御装置10(ウェブサーバ)とのセッションの多重度は高い。
【0074】
図10の(c)のように、応答者が機械である場合、同一のIPアドレスからのセッションの多重度は、高くなる。そこで、第2の実施の形態例における認証制御装置10は、アクセス元のIPアドレスが同一であってセッションIDが異なるセッションの、単位時間当たりの数が基準多重度を超える場合、応答者が機械である確率が高いとみなす。即ち、認証制御装置10は、アクセス元のIPアドレスが同一であってセッションIDが異なるセッションの、単位時間当たりの数が基準多重度を超えない場合、応答者が人間である確率が高いと判定する。
【0075】
続いて、セッションの多重度に基づく評価値の算出処理(図6のS11)について、フローチャート図に基づいて説明する。
【0076】
[評価値の算出処理]
図11は、第2の実施の形態例における評価値の算出処理について説明するフローチャート図である。第2の実施の形態例における認証制御装置10は、単位時間当たりの、同一の端末装置30とのセッションの多重度に基づいて、評価値を算出する。そこで、まず、認証制御装置10は、アクセス元の端末装置30のIPアドレスと、端末装置30のウェブブラウザbrのセッションIDとを取得する(S41)。
【0077】
続いて、認証制御装置10は、アクセス元のIPアドレスが同一であって、セッションIDが異なる組み合わせの数が、1秒間当たりm回以上発生したか否かを判定する(S42)。1秒間当たりm回以上発生した場合(S42のYES)、1つのIPアドレスからのセッションの多重度が基準値を超えることを示す。即ち、アクセス元の端末装置30で動作する不正なプログラムによって、多量のアクセスが行われている可能性がある。そこで、認証制御装置10は、応答者が機械である可能性が高いことを示す低い点数を得点に加算する(S44)。一方、1秒間当たりm回以上発生していない場合(S42のNO)、認証制御装置10は、応答者が人間である可能性が高いことを示す高い点数を得点に加算する(S43)。
【0078】
続いて、認証制御装置10は、総得点を判定する(S45)。総得点が所定の値以上である場合(S45のYES)、認証制御装置10は、高い値を有する評価値を算出する(SS46)。即ち、総得点が所定の値以上である場合、応答者が人間である可能性が高いことを示す評価値が設定される。一方、総得点が所定の値に満たない場合(S45のNO)、認証制御装置10は、低い値を有する評価値を算出する(SS47)。即ち、総得点が所定の値に満たない場合、応答者が人間である可能性が低いことを示す評価値が設定される。これにより、評価値が算出される。なお、認証制御装置10は、総得点を評価値として算出してもよい。
【0079】
このように、第2の実施の形態例における認証制御処理は、端末装置のIPアドレスが同一であってセッションIDが異なるセッションの単位時間当たりの多重度が基準多重度を超えないときに、当該端末装置からのセッションについて、単位時間当たりの多重度が基準多重度を超えるときよりも高い評価値を取得する。また、認証制御処理は、評価値に応じた難易度を有する認証テストを端末装置に実行させる。
【0080】
これにより、本実施の形態例における認証制御装置10は、同一の端末装置30とのセッションの多重度に基づいて、応答者が人間である可能性を推定することができる。そして、認証制御装置10は、応答者が人間である可能性が低いほど高度な難易度を有する認証テストをウェブブラウザbrに実行させることができる。このため、認証制御装置10は、人間である可能性が高い応答者に対して簡易な認証テストを実行させることができる。また、認証制御装置10は、機械である可能性が高い応答者に対して高い難易度の認証テストを実行させることができ、不正プログラムによる自動処理を抑止することができる。
【0081】
また、本実施の形態例における認証制御処理は、透過的に実装可能である。即ち、応答者が人間である場合の操作に影響を生じさせることなく、認証制御処理が実装される。このため、認証制御装置10は、正規の利用者の利便性を損なうことなく、不正なプログラムの自動処理の実行を抑止することができる。
【0082】
なお、認証制御装置10は、第1の実施の形態例における評価値の算出方法と、第2の実施の形態例における評価値の算出方法とを組み合わせてもよい。認証制御装置10は、例えば、第1の実施の形態例に基づいて評価値を算出し、さらに、第2の実施の形態例に基づいて算出された評価値を加算する。
【0083】
例えば、第2の実施の形態例によると、同一の時間帯に、1つのプロキシを共有する多数の端末装置30によって、同一のウェブサイトに対して多量のアクセスが行われた場合、セッションの多重度が高くなる。このとき、応答者が人間である場合であったとしても、セッションの多重度が基準多数度を超えた場合、評価値が低く算出される。即ち、応答者が人間であるにも関わらず、評価値が低く算出される。そこで、認証制御装置10は、さらに、第1の実施の形態例における人間らしさの算出処理を組み合わせることにより、より高精度に、評価値を算出することができる。これにより、認証制御装置10は、応答者が人間であるか否かをより高精度に判別可能になり、認証処理を適切に制御することができる。
【0084】
[変形例]
さらに、認証制御装置10は、情報の入力処理が行われる前後の時間に基づいて、評価値を算出してもよい。具体的に、認証制御装置10は、端末装置30において、情報入力の完了後、入力した情報の送信指示が行われるまでの時間が基準時間を超えるときに、基準時間を超えないときよりも高い前記評価値を取得する。これにより、認証制御装置10は、さらに、高精度に評価値を算出可能になる。
【0085】
図12は、画面毎の情報入力のタイミングと情報量とについて説明する図である。この例において、応答者が機械である場合(A)と、応答者が人間である場合(B)を示す2つの例が示される。各グラフにおいて、横軸は時間を、縦軸は単位時間当たりの情報入力量を示す。また、グラフG4、G5における縦方向の点線は、画面遷移のタイミングを示す。そして、白抜きの四角x1〜x8は、次の画面への遷移を指示するトリガー操作を示す。次の画面への遷移を指示するトリガー操作とは、例えば、「次へ」ボタンや、「送信」ボタンの押下操作である。また、横軸に沿った矢印tは、トリガー操作が発生してから次の画面が表示されるまでの時間を示す。
【0086】
図12の(A)は、応答者が機械である場合における画面毎の情報入力のタイミングと情報量とについて説明するグラフG4、G41である。応答者が機械である場合、次のような特徴を有する。
【0087】
応答者が機械である場合、画面が遷移してから応答者による操作が行われるまでの時間が短いことが想定される。この場合の操作とは、例えば、次の画面への遷移を指示するトリガー操作x1〜x4や、情報の入力操作である。即ち、応答者が機械である場合、新しい画面が表示された直後に、「次へ」ボタンの押下操作x1〜x4や、情報入力処理が行われる可能性が多い。さらに、応答者が機械である場合、ウェブブラウザbr上の情報入力処理が完了した後、次の画面への遷移を指示するトリガー操作x1〜x4が行われるまでの時間が短いことが想定される。即ち、応答者が機械である場合、ウェブブラウザbr上の情報入力処理が完了した直後に、「送信」ボタンや「次へ」ボタンの押下操作が行われる可能性が高い。
【0088】
具体的に、図12のグラフG4では、第1の画面が表示された直後にトリガー操作x1が行われている。そして、トリガー操作x1により、第2の画面が表示される。そして、第2の画面の表示直後に、情報入力処理が行われ、トリガー操作x2が行われている。同様にして、第3の画面の表示直後に、トリガー操作x3が行われ、第4の画面に遷移している。図12のグラフG41は、グラフG4から、トリガー操作x1〜x4が行われてからウェブブラウザbrに次の画面が表示されるまでの時間tを省いたグラフである。グラフG41に示すように、応答者が機械である場合、画面遷移の後、情報入力が行われ、情報入力が完了した後入力した情報の送信指示x1〜x4が行われるまでの時間は短い。
【0089】
これに対して、応答者が人間である場合、画面が遷移してから応答者による操作が行われるまでの時間は長くなる。即ち、応答者が人間である場合、新しい画面が表示された直後に、「次へ」ボタンの押下操作や、情報入力処理が行われる可能性は相対的に低い。さらに、応答者が人間である場合、ウェブブラウザbr上の情報入力処理が完了した後、次の画面への遷移を指示するトリガー操作が行われるまでの時間が長いことが想定される。即ち、応答者が人間である場合、ウェブブラウザbr上の情報入力処理が完了した直後に、「送信」ボタンや「次へ」ボタンの押下操作が行われる可能性は高くはない。
【0090】
具体的に、図12のグラフG5では、第1の画面が表示された少し後にトリガー操作x5が行われている。そして、トリガー操作x5の実行により、第2の画面が表示される。そして、第2の画面が表示されて、時間の経過後に、情報入力が行われトリガー操作x6が行われている。同様にして、第3の画面が表示されて、時間の経過後にトリガー操作x7が行われ、第4の画面に遷移している。図12のグラフG51は、グラフG5から、トリガー操作x5〜x8が行われてからウェブブラウザbrに次の画面が表示されるまでの時間tを省いたグラフである。グラフG51に示すように、応答者が人間である場合、画面遷移の後、情報入力が行われ、情報入力が完了した後入力した情報の送信指示が行われるまでの時間は、短くはない。
【0091】
そこで、認証制御装置10は、端末装置において、情報入力の完了後、入力した情報の送信指示が行われるまでの時間が基準時間を超えるときに、基準時間を超えないときよりも高い前記評価値を取得する。これにより、認証制御装置10は、応答者が人間である場合に、評価値を高い値にすることができる。このように、第1、2の実施の形態例における評価値の算出方法に、さらに、変形例における算出方法を組み合わせることによって、さらに、高精度に、評価値を算出することができる。これにより、認証制御装置10は、より適切な認証制御を行うことができる。
【0092】
以上の実施の形態をまとめると、次の付記のとおりである。
【0093】
(付記1)
サーバにおいて端末装置の認証処理を制御する認証制御処理をコンピュータに実行させるコンピュータ読み取り可能な認証制御プログラムにおいて、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御プログラム。
【0094】
(付記2)
付記1において、
前記情報入力速度情報は、前記情報入力の速度の分散値である認証制御プログラム。
【0095】
(付記3)
付記2において、
前記評価値取得工程では、前記分散値が第1の値と前記第1の値より大きい第2の値との間にあるときに、前記分散値が前記第1の値より小さく前記第2の値より大きいときよりも高い前記評価値を取得する認証制御プログラム。
【0096】
(付記4)
付記1乃至3のいずれかにおいて、
前記評価値取得工程では、さらに、前記端末装置のIPアドレスが同一であってセッションIDが異なるセッションの単位時間当たりの多重度が基準多重度を超えないときに、当該端末装置からのセッションについて、前記単位時間当たりの多重度が前記基準多重度を超えるときよりも高い前記評価値を取得する認証制御プログラム。
【0097】
(付記5)
付記1乃至4のいずれかにおいて、
前記認証制御工程では、前記評価値が低いほど、より高い難易度を有する認証テストを前記端末装置に実行させる認証制御プログラム。
【0098】
(付記6)
付記5において、
前記認証制御工程では、前記評価値が第1の評価値以上の場合は、最も高い難易度を示す第1の難易度よりも低い第2の難易度の認証テストを前記端末装置に実行させ、前記認証テストの通過後の前記端末装置に対する応答速度を第1の応答速度に制御し、前記評価値が第1の評価値に満たない場合は、前記第1の難易度の前記認証テストを前記端末装置に実行させ、前記認証テストの通過後の前記端末装置に対する応答速度を前記第1の応答速度より遅い第2の応答速度に制御する認証制御プログラム。
【0099】
(付記7)
付記5または6において、
前記認証制御工程では、前記評価値が、前記第1の評価値よりも高い第2の評価値を超える場合に、前記端末装置に前記認証テストを実行させることなく当該端末装置の認証を許可する認証制御プログラム。
【0100】
(付記8)
付記1乃至7のいずれかにおいて、
前記評価値取得工程では、前記端末装置において行われた情報入力において情報の削除処理が行われたときに、前記削除処理が行われないときよりも高い前記評価値を取得する認証制御プログラム。
【0101】
(付記9)
付記1乃至8のいずれかにおいて、
前記評価値取得工程では、前記端末装置において行われた情報入力の速度が基準速度を超えないときに、前記基準速度を超えるときよりも高い前記評価値を取得する認証制御プログラム。
【0102】
(付記10)
付記1乃至9のいずれかにおいて、
前記評価値取得工程では、前記端末装置において、前記情報入力の完了後、入力した情報の送信指示が行われるまでの時間が基準時間を超えるときに、前記基準時間を超えないときよりも高い前記評価値を取得する認証制御プログラム。
【0103】
(付記11)
付記1乃至10のいずれかにおいて、
前記認証テストは、CAPTCHAである認証制御プログラム。
【0104】
(付記12)
サーバにおいて端末装置の認証処理を制御する認証制御装置であって、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得手段と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御手段と、を有する認証制御装置。
【0105】
(付記13)
サーバにおいて端末装置の認証処理を制御する認証制御方法であって、
前記認証処理の対象となる前記端末装置において行われた情報入力の速度に関連した情報入力速度情報に基づいて評価値を取得する評価値取得工程と、
前記評価値に応じた難易度を有する認証テストを前記端末装置に実行させる認証制御工程と、を有する認証制御方法。
【符号の説明】
【0106】
10:認証制御装置、11:入力装置、12:表示装置、13:通信インタフェース、14:プロセッサ、15:記憶媒体、16:メモリ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.